Les clients qui se connectent automatiquement à des réseaux connus annonceront des SSID «cachés» dans toutes leurs demandes de sondage. Ainsi, votre appareil diffuse ces SSID où que vous soyez, à tous ceux qui les écoutent.
Ce comportement dépend du système d'exploitation du client. Par exemple, vous pouvez configurer Windows 7 et les versions ultérieures pour qu’ils ne se connectent pas automatiquement aux réseaux masqués (uniquement les réseaux «visibles»). Cela empêche que de telles émissions se produisent, mais vous devez ensuite vous connecter manuellement à des réseaux cachés à chaque fois.
Par ailleurs, iOS et macOS se connectent toujours à des réseaux connus, cachés ou non. Le fait qu'IOS 10 en avertisse à ce sujet indiquerait qu'Apple n'envisage pas d'ajouter le type de commutateur que Microsoft a ajouté à Windows 7 ou de forcer l'utilisateur à se connecter manuellement. Par conséquent, iOS et macOS diffusent en permanence tous les SSID cachés auxquels ils sont capables de se connecter .
Microsoft explique ce comportement sur TechNet :
Un réseau non diffusé n'est pas indétectable. Les réseaux non diffusés sont annoncés dans les demandes de sondage envoyées par les clients sans fil et dans les réponses aux demandes de sondage envoyées par les points d'accès sans fil. Contrairement aux réseaux de diffusion, les clients sans fil exécutant Windows XP avec Service Pack 2 ou Windows Server® 2003 avec Service Pack 1 et configurés pour se connecter à des réseaux autres que de diffusion publient en permanence le SSID de ces réseaux, même lorsque ces réseaux ne sont pas à portée.
Par conséquent, l'utilisation de réseaux autres que de diffusion compromet la confidentialité de la configuration réseau sans fil d'un client sans fil basé sur Windows XP ou Windows Server 2003, car ce dernier divulgue périodiquement son ensemble de réseaux sans fil préférés de diffusion.
Maintenant, pourquoi est-ce un problème de confidentialité?
- Dois-je signaler l'ironie de la diffusion d'un SSID à proximité immédiate du point d'accès pour tenter de le masquer? Excepté au lieu d’avoir l’ AP diffusant, chaque client de la gamme le fait. Ensuite, le point d'accès répond quand même à chacun de ces clients avec le SSID.
- Au lieu de limiter les SSID au voisinage de leurs AP respectifs (comme dans le cas des réseaux visibles), votre téléphone va diffuser ces SSID cachés à tous ceux qui se trouvent à proximité, partout où vous allez. Pire encore, les SSID peuvent inclure des prénoms et / ou des noms de famille, que des personnes que j'ai vues utilisent dans les noms de réseau.
- Votre ensemble de SSID masqués préférés agit comme une signature qui peut vous identifier de manière unique. Disons par exemple que mon voisin utilise le SSID caché My SSID secret . Maintenant, si je renifle une balise d'émission contenant My Secret SSID chez Starbucks, je peux en déduire qu'un membre de son ménage se trouve à proximité, ou l'un de ses invités. Sur la base des autres SSID cachés parmi les balises de diffusion de cette personne, je pourrais peut-être déterminer exactement à qui j'ai affaire. À l'inverse, je pouvais m'approcher de cette personne, la reconnaître, puis assigner un visage à son ensemble unique de SSID cachés.
- Disons que vous portez votre téléphone partout où vous allez. Une personne disposant d’un réseau assez important de récepteurs radio pourrait savoir où vous vous trouvez à un moment donné, savoir où vous travaillez, où vous passez votre temps, si vous êtes à la maison, etc.
Les figures 1 et 2 montrent comment essayer de cacher un SSID aggrave encore la confidentialité de son réseau . 3 et 4 montrent comment cela s'étend également à votre vie privée .
Cela semble exagéré? Les criminels / annonceurs / ex-jaloux / le gouvernement ont fait pire. En fait, les adresses MAC étaient autrefois utilisées pour suivre les mouvements des clients dans les centres commerciaux. Apple a ensuite randomisé les adresses MAC dans les demandes de sondage.
Heureusement, personne que je connais n'a utilisé un SSID caché depuis plus de dix ans et je n'ai pas vu cette pratique recommandée depuis encore longtemps.
En bout de ligne: ne cachez pas votre SSID. Il réalise exactement le contraire de ce que vous pensez.
Mise à jour: Comme il semble y avoir une certaine confusion quant aux raisons pour lesquelles vous ne pouvez pas vous connecter à un réseau caché sans le diffuser au monde, ainsi qu’à la question de la sécurité par rapport à la confidentialité, faisons une analogie amusante.
Imaginez qu'un chauffeur (le PA) vienne vous chercher à l'aéroport. Ils ne vous connaissent pas et vous ne les connaissez pas. Ils tiennent donc une pancarte indiquant «John Doe». Lorsque vous les trouvez, vous (le client) allez leur dire: «Je suis John Doe». C'est ce qui se produit lors de la connexion à un réseau de diffusion.
Maintenant, imaginez que le conducteur essaie d'être très discret et ne tient pas ce panneau. Ce qui se passe maintenant, c’est que vous devez vous promener en criant: «Qui ramasse John Doe?» Encore et encore, jusqu’à ce que le chauffeur s’avance et lui répond: «Je ramasse John Doe."
Dans les deux cas, vous échangez ensuite vos identifiants et assurez-vous que vous êtes chacun avec qui vous pensez avoir affaire. Ce qui se passe après l’authentification est tout aussi sécurisé . Mais chaque étape menant à cela compromet votre vie privée .
Les représentants Apple ont déclaré qu'iOS 10 écoute passivement les points d'accès connus et diffuse les SSID associés aux points d'accès cachés, mais à aucune autre information "personnelle". D'autres experts, cependant, affirment avoir été en mesure de collecter facilement des informations, cachées ou non, sur les points d'accès wifi fiables d'un téléphone. Bien que cacher votre SSID ne puisse empêcher une attaque (rien ne le peut), cela n'augmente probablement pas le risque d'attaque de manière mesurable, à moins que iOS ne diffuse d'autres données qui ne seraient pas disponibles pour l'attaquant sinon, qui pourraient en informer un attaquant. votre identité ou d'autres informations susceptibles de les aider dans leurs efforts pour vous cibler. Apple devrait préciser ce qu’ils entendent par "informations personnellement identifiables".
On craint que votre téléphone ne diffuse le SSID de votre réseau masqué tant que vous n'y êtes pas connecté. La diffusion du nom d’un point d’accès à des endroits où il n’apparaît PAS insignifiant. Un attaquant devrait tout de même trouver le point d'accès lui-même, ce qui semble demander beaucoup de ressources, à moins que vous ET l'attaquant ne se trouviez à proximité du point d'accès au même moment.
Un SSID "caché" peut réduire votre exposition à une personne ayant une intention malveillante de faire la guerre ou de trébucher sur votre réseau par hasard. Le fait que quelqu'un puisse toujours découvrir votre SSID, même s'il est caché, semble moins inquiétant, car cela signifie qu'un attaquant peut être amené à prendre des mesures supplémentaires pour obtenir ces informations, ce qui le rend plus gourmand en ressources et en temps, même un tout petit peu. Vous ne savez jamais quand quelqu'un pourrait se décourager et passer à une autre cible.
la source
Quelques points
Tout périphérique sans fil diffuse (recherche en premier) son "SSID préféré du réseau" lorsqu'il est hors de portée, que le SSID soit caché ou diffusé. Apple a une liste de priorités de protocole de ce qui et comment sont connectés.
Sécurité (poignée de main à l'AP) n'est pas différent. La fausse impression de SSID caché est peut-être un problème de sécurité énorme en fonction du mot de passe du point d'accès ou même de son absence. On pourrait penser que "caché" rend leur point d'accès plus sécurisé, mais partout où ils se rendent, tous les dispositifs sans fil de leur famille recherchent les points d'accès cachés / préférés lorsqu'ils sont hors de portée.
la source
Préface
Je pense que le message d'Apple sur votre capture d'écran voulait dire que masquer le SSID des réseaux ne leur permettrait pas de cacher quoi que ce soit sauf cela. Donc, fondamentalement, ils vous disent que cacher des réseaux n'est pas plus sûr, mais ne diffuse pas le SSID .
Je conviens avec vous que le message peut être très difficile à interpréter, mais je considère que c'est le seul moyen raisonnable de le lire. Mais ne désespérons pas, c'est toujours une version bêta , Apple change beaucoup dans les versions bêta, alors espérons qu'ils mettront à jour et clarifieront également ce message!
Ainsi, comme Apple l’a écrit sur cette page, il vous a suggéré:
Fin de l'histoire
Cacher le SSID des réseaux ne les rendra pas plus sûrs.
la source
La seule chose que je vois ici est que si vous cachez votre SSID, le périphérique (IOS ou Windows) doit régulièrement demander le SSID pour déterminer s'il est dans la plage, même si ce n'est pas le cas. Cela signifie que votre appareil diffusera partout où le SSID ne peut pas être atteint.
Si vous activez toutefois votre SSID en tant que diffusion, l'appareil "écoutera" de manière passive le SSID au lieu de le diffuser en permanence.
J'ai des problèmes avec mon épouse IPhone 5 sur mon SSID caché à la maison depuis sa mise à niveau vers Windows 10 et je pense que c'est parce qu'Apple l'a changé pour qu'il ne soit pas continuellement diffusé pour des SSID cachés. Je n'ai aucun problème avec les appareils Android que j'utilise ou avec les appareils Windows non plus ... et après une analyse rapide, il apparaît qu'ils ne diffusent pas pour le SSID (Ils diffusent pour tous les SSID, puis font votre choix. la liste). Cela semble être un problème spécifique à Apple ... Il est préférable de placer un message comme celui-ci, BS IMHO, parce qu’ils blâment carrément le problème aux autres alors qu’il est clair qu’ils semblent ne pas avoir le talent pour rechercher des SSID cachés de manière sécurisée, comme chaque autre appareil fait.
la source
Il semblerait que la meilleure approche pour résoudre cette situation, tout en bénéficiant de la sécurité supplémentaire offerte par l’utilisation d’un réseau caché, consisterait à géocoder la position du point d’accès, puis à fournir une option dans la configuration AP sur le serveur. point de terminaison pour activer le geofencing pour la diffusion de la requête SSID. La raison pour laquelle je dis sécurité accrue n’est signifiée que dans son sens général; parce que j'estime que cela renforce la sécurité de la personne moyenne. La plupart des gens n’ont pas, ou ne savent pas utiliser, de scanneurs wifi qui pourraient être utilisés pour capter et décoder les requêtes de diffusion pour l’emplacement des points d'accès. La seule sécurité supplémentaire fournie est qu'une personne ne connaissant pas le nom du réseau ne pourrait pas essayer de deviner son mot de passe. Cela n'a évidemment aucun effet sur un individu bien motivé et correctement éduqué, mais regardons les choses en face, votre personne moyenne manque ces deux qualités. Pour quiconque a l'intention d'entrer, ils trouveront un moyen.
la source